1. 为什么需要VLAN间路由在企业网络环境中不同部门往往需要隔离通信。比如财务部的电脑不能随意访问研发部的服务器但总经理可能需要访问所有部门的资源。这种既隔离又互通的需求正是VLAN间路由的用武之地。传统方案中单臂路由Router-on-a-Stick是常见选择。它通过在路由器上创建子接口用一根物理线路承载多个VLAN流量。但这种方式存在明显瓶颈所有跨VLAN通信都要经过这根独木桥容易成为性能瓶颈。实测在百兆环境下跨VLAN传输大文件时带宽利用率能达到90%以上。相比之下SVISwitch Virtual Interface方案就像给每个VLAN配备了专属立交桥。我在某制造企业升级网络时做过对比测试同样环境下SVI方案的跨VLAN传输速率比单臂路由提升近3倍延迟降低60%。这是因为数据直接在交换机内部转发无需绕行外部路由器利用交换机背板带宽通常可达几百Gbps硬件级转发不依赖软件路由表查询2. 实战环境搭建2.1 设备选型建议思科Catalyst 3650系列是性价比不错的选择。它支持完整的Layer3功能价格又比专业路由器亲民。记得检查IOS版本是否支持ip routing命令有次我遇到台二手3750就因为IOS太旧死活开启不了三层功能。2.2 基础拓扑规划我们模拟一个典型办公场景VLAN 10研发部192.168.10.0/24VLAN 20市场部192.168.20.0/24VLAN 30访客网络192.168.30.0/24物理连接时要注意三层交换机与二层交换机之间必须配置Trunk端口。曾经有工程师忘记设置switchport mode trunk导致VLAN信息无法传递排查半天才发现是这个低级错误。3. 详细配置步骤3.1 二层交换机配置先给接入层交换机划分VLAN# 在接入交换机S2上配置研发部VLAN S2(config)#vlan 10 S2(config-vlan)#name RD S2(config-vlan)#exit S2(config)#interface range f0/1-10 S2(config-if-range)#switchport mode access S2(config-if-range)#switchport access vlan 10 S2(config-if-range)#no shutdown # 在接入交换机S3上配置市场部VLAN S3(config)#vlan 20 S3(config-vlan)#name Marketing S3(config-vlan)#exit S3(config)#interface range f0/1-8 S3(config-if-range)#switchport mode access S3(config-if-range)#switchport access vlan 20 S3(config-if-range)#no shutdown关键点使用interface range可以批量配置端口效率提升明显给VLAN命名要有意义三个月后回头看还能明白用途养成no shutdown的好习惯避免端口处于管理性关闭状态3.2 三层交换机核心配置核心交换机S1的配置是重头戏# 创建所有VLAN S1(config)#vlan 10 S1(config-vlan)#name RD S1(config-vlan)#exit S1(config)#vlan 20 S1(config-vlan)#name Marketing S1(config-vlan)#exit # 配置SVI接口 S1(config)#interface vlan 10 S1(config-if)#description Gateway_for_RD S1(config-if)#ip address 192.168.10.1 255.255.255.0 S1(config-if)#no shutdown S1(config-if)#exit S1(config)#interface vlan 20 S1(config-if)#description Gateway_for_Marketing S1(config-if)#ip address 192.168.20.1 255.255.255.0 S1(config-if)#no shutdown S1(config-if)#exit # 启用IP路由功能 S1(config)#ip routing这里有个坑要注意在Packet Tracer模拟器中需要先拖动电源模块启动三层交换机否则ip routing命令会报错。真实设备虽然没这个问题但记得保存配置S1#copy running-config startup-config4. 验证与排错4.1 基础连通性测试从研发部的PC1192.168.10.2执行测试# 测试网关可达性 C:\ping 192.168.10.1 # 测试跨VLAN通信 C:\ping 192.168.20.2如果第二个ping不通按这个顺序排查检查PC的默认网关设置是否正确在三层交换机show ip route看路由表用show interface trunk看Trunk链路状态在接入交换机show vlan brief确认端口VLAN归属4.2 高级诊断技巧遇到诡异问题时这些命令能救命# 查看ARP表项 S1#show arp # 检查接口状态 S1#show interface vlan 10 # 跟踪数据包路径 S1#traceroute 192.168.20.2 # 查看ACL如果有配置 S1#show access-lists有次客户反映市场部无法访问研发部的文件服务器最后发现是有人在交换机上配置了ACL但忘记记录。通过show access-lists才发现这个隐藏彩蛋。5. 性能优化建议5.1 路由协议选择小型网络用静态路由就够了但超过20个VLAN建议启用OSPFS1(config)#router ospf 1 S1(config-router)#network 192.168.10.0 0.0.0.255 area 0 S1(config-router)#network 192.168.20.0 0.0.0.255 area 05.2 安全加固措施基础安全配置不能少# 禁用未用端口 S1(config)#interface range f0/24 S1(config-if-range)#shutdown # 设置特权密码 S1(config)#enable secret YourStrongPassword # 配置SSH替代Telnet S1(config)#ip domain-name yourcompany.com S1(config)#crypto key generate rsa S1(config)#line vty 0 15 S1(config-line)#transport input ssh6. 真实案例分享去年给某电商公司部署SVI方案时遇到个典型问题白天高峰期跨VLAN访问特别慢。通过show process cpu发现CPU利用率长期超过70%。原因在于他们开启了NetFlow统计而这款交换机的NetFlow实现是软件处理。解决方案是关闭非必要的NetFlow功能在SVI接口下启用CEF快速转发对关键VLAN启用QoS优先级调整后CPU利用率降至30%以下用户反馈延迟问题完全消失。这个案例告诉我们再好的硬件也架不住错误配置监控系统指标非常重要。